BB84協議中測量轉發攻擊的偵測方法及其分析

2020-09-09 03:09陳小明

計算機應用與軟件 2020年9期

卿爽陳小明,3

1(北京電子科技學院北京 100071)2(西安電子科技大學通信工程學院陜西西安 710071)3(中國科學技術大學網絡空間安全學院安徽合肥 230026)

0 引言

在1984年由Bennett 和Brassard提出第一個量子密鑰分發協議——BB84協議之后[1-4]，量子密鑰分發在理論上成為了可能。近年來，量子密鑰已經成為量子密碼領域的研究熱點[5-10]。量子密鑰分發協議的安全性不同于傳統密碼算法所依靠的計算復雜度，而是基于量子力學基本原理來確保安全性，目前已證明量子密鑰分發在理論上具有無條件安全性[11-16]。在實用的QKD工程中，協議中的原理都需要有相應的技術手段來落實，比如攻擊行為的偵測問題，原理上有攻擊和沒有攻擊的過程在收方數據的差錯概率上會有顯著區分，但我們看到的都是樣本數據，在大樣本前提下能得到概率的近似，最自然的方法是采用假設統計檢驗方法來判斷是否存在攻擊行為，但假設檢驗不可避免會導致棄真和取偽兩類差錯，從而引發安全和效率之間的矛盾。

本文通過分析測量轉發攻擊的技術過程提出采用假設檢驗來偵測攻擊行為的方法，評估兩類差錯發生的概率。

1 量子密鑰分發技術原理

目前大部分QKD技術使用BB84協議，有相位編碼和偏振編碼兩種類型，本文以偏振編碼協議為例進行論述。該協議是利用單光子的四種偏振態來對隨機密鑰信息進行編碼，再對攜帶信息的單光子進行傳輸，每一個單光子所攜帶的信息都可以看作是1量子比特(Qbit)。在傳輸單光子的過程中，由“量子不可克隆定理”和“海森堡測不準原理”來保障BB84協議的安全性[17-20]。

圖1 四種單光子偏振態

在BB84協議中，發送方Alice隨機選取四種偏振態對待傳輸的密鑰信息進行編碼，經量子信道將這些包含密鑰信息的量子態發送給接收方Bob；Bob在接收到這些量子態對每個量子態隨機選取X基或Z基進行測量。測量完成之后，Alice和Bob通過公共經典信道來交換他們的基選擇信息，若雙方對于同一個量子態的制備基與測量基選擇是一致的，就保留這份數據，反之則舍去這份數據，這一過程稱之為基矢對比。而后Alice從保留的數據中選取部分(例如50%)用于偵測是否存在測量轉發攻擊，Alice將選中的數據公開，Bob根據將其與自己所測量到的數據進行對比來計算響應的誤碼率，若誤碼率過高則說明存在竊聽行為，雙方可以終止本輪協議重新開始。若誤碼率在合理范圍內，Alice和Bob將進數據后處理，包括數據協調、保密增強等步驟，最終雙方得到一段安全密鑰。圖2為使用BB84協議產生密鑰的過程。

圖2 BB84協議流程圖

2 測試轉發攻擊過程及分析

發送方Alice和接收方Bob在進行量子密鑰分發的過程中不僅使用了量子信道，還使用了經典信道，量子信道用于傳輸攜帶量子態信息的光子，經典信道用于雙方進行基矢對比。經典信道是完全公開的，Alice和Bob的所公布的制備基和測量基信息可以被任何人接收到，但這些信息與密鑰信息無關，并不會影響到整個協議的安全性。

竊聽者Eve實施攻擊的具體過程如下：

(1) 在Alice隨機選取兩組長度相同的序列{xn}和{an}，其中{xn}決定選取哪種基，{an}決定發送該基下的哪一種偏振態。{an}即為隨機密鑰序列。

(2) Alice完成量子態的制備后發送給Bob時，Eve在量子信道中截取Alice所發送的量子態，并隨機選取一組測量基{zn}對每個量子態進行測量，測量結果記為{En}。而后Eve根據{zn}和{En}來制備相應的量子態發送給Bob。

(3) Bob在接收到Eve發送給他的量子態之后，隨機選取一組測量基{yn}進行測量，測量結果記為{Bn}。

(4) Alice通過一個公共的經典信道公布其制備基選擇{xn}，Bob將其與自己的測量基{yn}進行對比，將兩者相同的位置通過公共信道告訴Alice，雙方保留相同的位置所對應的量子態信息，舍棄不同的部分。

(5) Eve同樣可以從公共信道獲取到Alice和Bob進行基矢對比的信息，因為他可以保留與Bob完全相同的量子態，從而達到竊聽的目的。

在Eve實施攻擊的過程中，由于量子不可克隆定理，Eve無法完美克隆這些量子態而不引起擾動，即Eve在對Alice制備的量子態進行測量的過程中，若使用了與制備基不同的測量基進行測量，量子態將塌縮成該測量基下的隨機一種偏振態。因此Eve無法得知自己是否選對了測量基，即使Eve選擇了錯誤的測量基，也只能根據這個錯誤的基組來制備量子態發送給Bob。

理論上來看，由于Eve是隨機選取測量基的，因此她將會有一半的測量基選擇不正確，從而導致其發送給Bob的量子態中有一半是錯誤的。在測量這一半錯誤的量子態信息時，若Bob選擇的測量基與Eve的測量基不同(即與Alice的制備基相同)，則Bob所測的量子態將會等概率隨機塌縮成該基下的一種偏振態。因此，對于Eve轉發的一半錯誤量子態，Bob仍有50%的概率測得與Alice所發的正確的量子態信息。從整體上來看，Alice和Bob在雙方基選擇都正確的情況下，測量轉發攻擊仍會導致通信雙方存在25%的誤碼率。

由上述分析可以得出，若Eve實施了測量轉發攻擊，根據量子不可克隆原理，攻擊行為將會使Bob端產生25%的誤碼率，這與沒攻擊行為時接近于0的誤碼率是十分容易區分的。但在實際應用BB84協議進行量子密鑰分發時，概率不能直接顯現，只能通過樣本數據來進行檢驗，即使用頻率來代替概率。Eve的竊聽行為所造成的誤碼率并不是嚴格等于25%，其數值應該在25%附近波動，極端的狀況下Eve完全可能選到與Alice和Bob一樣的測量基，從而Bob從差錯率上完全無法感知到攻擊行為的存在。因此，在實際操作中如何判斷此次通信是否遭到竊聽便成為非確定性問題，本文考慮利用統計學中假設檢驗的方法來進行判斷。假設檢驗必將導致兩類差錯的產生，引發安全性與效率之間的矛盾。

3 差錯概率分析

在m重伯努利實驗中，事件A發生的概率為p(0

(1)

則有Yn～N(0,1)。由此可得n～m(mp,mp(1-p))，即n服從均值為mp、方差為mp(1-p)的正態分布。

(2)

(3)

(4)

若u落在拒絕域內，則拒絕原假設H0，反之則接受原假設H0。同時也可以由拒絕域計算出被檢測值的1-α置信區間為：

(5)

即每次檢測的誤碼率以1-α的概率落入該區間內。顯著性水平α為犯第一類錯誤的概率，也就是把存在攻擊錯判為無攻擊情況的概率。β為犯第二類錯誤的概率，也就是把不存在攻擊判斷為存在攻擊的情況。在樣本量給定的條件下，α與β中一個減小必導致另一個增加。

表1 幾種顯著性水平與對應的置信區間

由于α和β的大小是相互影響的，因此無法同時控制二者，在密鑰分發的過程中，犯第一類錯誤所產生的后果遠比第二類錯誤要嚴重，且β不易求出。故本文選擇控制α來使檢驗犯兩類錯誤的概率達到一個合適的平衡。由表1可以看出，當置信區間為(21.03%，28.97%)時，α的大小是可接受的，且此時不會因α過小而導致β太大。若繼續擴大置信區間，將系統誤差所產生的誤碼率判定為攻擊行為的概率就會提高，使得密鑰分配效率下降。因此，在實際應用QKD系統中，使用1 800位數據進行竊聽檢測，當誤碼率超過21.03%時，即認為此次通信有99.99%的概率存在竊聽。

4 結語

本文通過使用假設檢驗的方法對BB84協議中因測量轉發攻擊而引起誤碼率變化的問題進行了分析，通過理論上的公式推導給出了較為詳細的判別方法，并對數據進行了實際分析。實際上，假設檢驗并不能給出一個完全確定的結論，只能說明在相當大的概率下是服從原假設或備擇假設的，但總有小概率的情況犯兩類錯誤。在竊聽檢測中，第一類錯誤是把有竊聽檢測成無竊聽；第二類錯誤是把無竊聽檢測為有竊聽，后者的嚴重性要遠超前者。本文選擇控制犯第一類錯誤的概率，是因為第二類錯誤的概率不易求出，但二者是息息相關的，故可以通過控制第一類錯誤的概率來使竊聽檢測環節的結論更加可靠。本文主要分析的是測量轉發攻擊，但在量子密鑰分發技術的實際應用中需要面對的攻擊遠不止這一種，因非竊聽行為而產生的誤碼原因也有很多。本文以簡化的密鑰分發過程為基礎，為將來考慮到復雜環境、多種攻擊的誤碼率分析指出了方向，例如在不完美光源而產生多光子的問題中竊聽者采取PNS攻擊[21]而產生的誤碼率。